Trace Id is missing
Zu Hauptinhalt springen
Microsoft Security

Was sind Kompromittierungsindikatoren (IoC)?

Erfahren Sie, wie Sie Gefährdungsindikatoren überwachen, identifizieren, verwenden und darauf reagieren.

Hinweise zu Kompromittierungsindikatoren

Ein Kompromittierungsindikator (IOC) ist Beweis dafür, dass jemand möglicherweise das Netzwerk oder den Endpunkt einer Organisation verletzt hat. Diese forensischen Daten weisen nicht nur auf eine potenzielle Bedrohung hin, sondern signalisieren auch, dass ein Angriff, z. B. durch Schadsoftware, kompromittierte Anmeldedaten oder Datenexfiltration, bereits stattgefunden hat. Sicherheitsexperten suchen nach IoCs in Ereignisprotokollen, Extended Detection and Response (XDR)-Lösungen und Security Information and Event Management (SIEM)-Lösungen. Während eines Angriffs verwendet das Team IoCs, um die Bedrohung zu beseitigen und Schäden zu minimieren. Nach der Wiederherstellung helfen IoCs dem Unternehmen, den Vorfall besser zu verstehen, so dass das Sicherheitsteam des Unternehmens die Sicherheit verbessern und das Risiko eines weiteren ähnlichen Vorfalls verringern kann. 

Beispiele für IoCs

Bei der IoC-Sicherheit überwacht die IT-Abteilung die Umgebung auf die folgenden Anzeichen für einen Angriff:

Anomalien des Netzwerkdatenverkehrs

In den meisten Organisationen gibt es konsistente Muster für Netzwerkdatenverkehr, der in die digitale Umgebung ein- und ausgeht. Wenn sich dies ändert, z. B. wenn deutlich mehr Daten das Unternehmen verlassen oder wenn Aktivitäten von einem ungewöhnlichen Ort im Netzwerk ausgehen, kann dies ein Zeichen für einen Angriff sein.

Ungewöhnliche Anmeldeversuche

Ähnlich wie beim Netzwerkdatenverkehr sind die Arbeitsgewohnheiten der Menschen vorhersagbar. Sie melden sich in der Regel von den gleichen Standorten und ungefähr zu den gleichen Zeiten während der Woche an. Sicherheitsexperten können ein kompromittiertes Konto erkennen, indem sie auf Anmeldungen zu ungewöhnlichen Tageszeiten oder von ungewöhnlichen Orten aus achten, z. B. von einem Land aus, in dem ein Unternehmen keine Niederlassung hat. Es ist auch wichtig, mehrere fehlgeschlagene Anmeldungen aus demselben Konto zu notieren. Obwohl Benutzer in regelmäßigen Abständen ihre Kennwörter vergessen oder Probleme beim Anmelden haben, können sie diese in der Regel nach einigen Versuchen beheben. Wiederholte fehlgeschlagene Anmeldeversuche können darauf hinweisen, dass jemand versucht, mit einem gestohlenen Konto auf die Organisation zuzugreifen. 

Privilegien von Konten

Viele Angreifer, egal ob es sich um interne oder externe Personen handelt, sind daran interessiert, auf administrative Konten zuzugreifen und sensible Daten zu erlangen. Ungewöhnliches Verhalten im Zusammenhang mit diesen Konten, wie z. B. der Versuch einer Person, ihre Privilegien zu erweitern, kann ein Anzeichen für einen Verstoß sein.

Änderungen an Systemkonfigurationen

Schadsoftware ist oft so programmiert, dass sie Änderungen an der Systemkonfiguration vornimmt, z. B. die Aktivierung des Fernzugriffs oder die Deaktivierung von Sicherheitssoftware. Durch die Überwachung dieser unerwarteten Konfigurationsänderungen können Sicherheitsexperten einen Verstoß erkennen, bevor zu viel Schaden entstanden ist.

Unerwartete Software-Installationen oder -Updates

Viele Angriffe beginnen mit der Installation von Software, z. B. Schadsoftware oder Ransomware, die darauf ausgelegt ist, den Zugriff auf Dateien zu verhindern oder Angreifern Zugriff auf das Netzwerk zu gewähren. Durch die Überwachung ungeplanter Softwareinstallationen und -aktualisierungen können Unternehmen diese IoCs schnell erkennen. 

Mehrere Anforderungen für dieselbe Datei

Mehrere Anforderungen für eine einzelne Datei können darauf hindeuten, dass ein ungültiger Akteur versucht, sie zu stehlen, und hat mehrere Methoden versucht, darauf zuzugreifen.

Ungewöhnliche Anforderungen an Domain Name Systems

Einige böswillige Akteure verwenden eine Angriffsmethode namens „Command and Control“. Sie installieren Schadsoftware auf dem Server einer Organisation, die eine Verbindung mit einem Server herstellt, den sie besitzen. Sie senden dann Befehle von ihrem Server an den infizierten Computer, um Daten zu stehlen oder den Betrieb zu stören. Ungewöhnliche DNS-Anforderungen (Domain Name Systems) helfen der IT, diese Angriffe zu erkennen.

Identifizieren von IoCs

Die Anzeichen für einen digitalen Angriff werden in den Protokolldateien festgehalten. Im Rahmen der Cybersicherheit des IoCs überwachen die Teams die digitalen Systeme regelmäßig auf verdächtige Aktivitäten. Moderne SIEM- und XDR-Lösungen vereinfachen diesen Prozess mit KI und Algorithmen für maschinelles Lernen, die eine Basislinie für das, was im Unternehmen normal ist, festlegen und das Team dann bei Anomalien alarmieren. Es ist auch wichtig, Mitarbeiter außerhalb des Sicherheitsbereichs einzubeziehen, die verdächtige E-Mails erhalten oder versehentlich eine infizierte Datei herunterladen. Gute Sicherheitstrainingsprogramme helfen den Mitarbeitern, kompromittierte E-Mails besser zu erkennen, und bieten ihnen die Möglichkeit, auffällige Vorfälle zu melden.

Warum IoCs wichtig sind

Die Überwachung von IoCs ist entscheidend, um das Sicherheitsrisiko einer Organisation zu reduzieren. Die frühzeitige Erkennung von IoCs ermöglicht es Sicherheitsteams, schnell auf Angriffe zu reagieren und diese zu beheben, wodurch Ausfallzeiten und Unterbrechungen reduziert werden. Die regelmäßige Überwachung bietet Teams auch einen besseren Einblick in organisatorische Sicherheitsrisiken, die dann entschärft werden können.

Reaktion auf Kompromittierungsindikatoren

Sobald Sicherheitsteams ein IoC identifiziert haben, müssen sie effektiv reagieren, um der Organisation so wenig Schaden wie möglich zuzufügen. Die folgenden Schritte helfen Organisationen, sich zu konzentrieren und Bedrohungen so schnell wie möglich zu stoppen:

Einrichten eines Plans zur Reaktion auf Vorfälle

Die Reaktion auf einen Vorfall ist stressig und zeitraubend, denn je länger die Angreifer unentdeckt bleiben, desto wahrscheinlicher ist es, dass sie ihre Ziele erreichen. Viele Unternehmen entwickeln einen Plan für die Reaktion auf Vorfälle, um die Teams in den kritischen Phasen einer Reaktion zu unterstützen. Der Plan beschreibt, wie die Organisation einen Vorfall definiert, welche Rollen und Verantwortlichkeiten bestehen, welche Schritte zur Behebung eines Vorfalls erforderlich sind und wie das Team mit Mitarbeitern und externen Interessengruppen kommunizieren soll. 

Isolierung gefährdeter Systeme und Geräte

Sobald eine Organisation eine Bedrohung identifiziert hat, isoliert das Sicherheitsteam die angegriffenen Anwendungen oder Systeme schnell vom Rest des Netzwerks. Dadurch wird verhindert, dass Angreifer auf andere Unternehmensbereiche zugreifen können.

Forensische Analyse durchführen

Die forensische Analyse hilft Unternehmen, alle Aspekte einer Sicherheitsverletzung aufzudecken, einschließlich der Quelle, der Art des Angriffs und der Ziele des Angreifers. Die Analyse wird während des Angriffs durchgeführt, um das Ausmaß der Kompromittierung zu verstehen. Sobald sich die Organisation von dem Angriff erholt hat, helfen zusätzliche Analysen dem Team, mögliche Schwachstellen und andere Erkenntnisse zu verstehen.

Beseitigen der Bedrohung

Das Team entfernt den Angreifer und die Schadsoftware von den betroffenen Systemen und Ressourcen, was unter Umständen bedeutet, dass die Systeme vom Netz genommen werden.

Umsetzung von Sicherheits- und Prozessverbesserungen

Sobald sich die Organisation von dem Vorfall erholt hat, ist es wichtig, die Gründe für den Angriff zu ermitteln und zu prüfen, ob die Organisation etwas hätte tun können, um ihn zu verhindern. Es kann einfache Prozess- und Richtlinienverbesserungen geben, die das Risiko eines ähnlichen Angriffs in der Zukunft verringern, oder das Team kann längerfristige Lösungen identifizieren, die in eine Sicherheitsroadmap aufgenommen werden.

IoC-Lösungen

Die meisten Sicherheitsverletzungen hinterlassen eine forensische Spur in Protokolldateien und Systemen. Wenn Organisationen lernen, diese IoCs zu identifizieren und zu überwachen, können sie Angreifer schnell isolieren und ausschalten. Viele Teams wenden sich an SIEM-Lösungen wie Microsoft Sentinel und Microsoft Defender XDR, die KI und Automatisierung nutzen, um IoCs aufzuspüren und sie mit anderen Ereignissen zu korrelieren. Mit einem Notfallplan können die Teams Angriffen zuvorkommen und sie schnell abwehren. Im Bereich der Cybersicherheit gilt: Je schneller Unternehmen verstehen, was passiert, desto eher können sie einen Angriff stoppen, bevor er sie Geld kostet oder ihren Ruf schädigt. Die IoCs-Sicherheit ist der Schlüssel zur Verringerung des Risikos einer kostspieligen Sicherheitsverletzung für Unternehmen.

Mehr erfahren über Microsoft Security

Microsoft Threat Protection

Erkennen Sie Vorfälle in Ihrem Unternehmen, und reagieren Sie mit aktuellem Bedrohungsschutz.

Microsoft Sentinel

Entdecken Sie ausgefeilte Bedrohungen und reagieren Sie entschlossen mit einer leistungsstarken, cloudbasierten SIEM-Lösung.

Microsoft Defender XDR

Stoppen Sie Angriffe über Endpunkte, E-Mails, Identitäten, Anwendungen und Daten hinweg mithilfe von XDR-Lösungen.

Threat Intelligence-Community

Holen Sie sich die neuesten Updates aus der Microsoft Defender Threat Intelligence Community-Ausgabe.

Häufig gestellte Fragen

  • Es gibt mehrere Arten von IOCs. Einige der gängigsten sind:

    • Anomalien des Netzwerkdatenverkehrs
    • Ungewöhnliche Anmeldeversuche
    • Privilegien von Konten
    • Änderungen an Systemkonfigurationen
    • Unerwartete Software-Installationen oder -Updates
    • Mehrere Anforderungen für dieselbe Datei
    • Ungewöhnliche Anforderungen an Domain Name Systems
  • Ein Indikator für eine Kompromittierung ist ein digitaler Beweis dafür, dass ein Angriff bereits stattgefunden hat. Ein Indikator für einen Angriff ist ein Hinweis darauf, dass ein Angriff wahrscheinlich ist. So ist beispielsweise eine Phishing-Kampagne ein Indikator für einen Angriff, weil es keinen Beweis dafür gibt, dass der Angreifer in das Unternehmen eingedrungen ist. Wenn jedoch jemand auf einen Phishing-Link klickt und Schadsoftware herunterlädt, ist die Installation der Schadsoftware ein Indikator für eine Gefährdung.

  • Anzeichen für eine Kompromittierung von E-Mails sind eine plötzliche Flut von Spam, seltsame Anhänge oder Links oder eine unerwartete E-Mail von einer bekannten Person. Wenn beispielsweise ein Mitarbeiter einem Kollegen eine E-Mail mit einem seltsamen Anhang schickt, kann dies ein Hinweis darauf sein, dass sein Konto kompromittiert wurde.

  • Es gibt mehrere Möglichkeiten, ein kompromittiertes System zu identifizieren. Eine Veränderung im Netzwerkverkehr eines bestimmten Computers könnte ein Hinweis darauf sein, dass er kompromittiert wurde. Wenn eine Person, die ein System normalerweise nicht braucht, regelmäßig darauf zugreift, ist das ein Warnsignal. Änderungen an den Systemkonfigurationen oder eine unerwartete Software-Installation können ebenfalls darauf hinweisen, dass das System kompromittiert wurde. 

  • Drei Beispiele für IoCs sind:

    • Ein in Nordamerika ansässiges Benutzerkonto meldet sich von Europa aus bei Unternehmensressourcen an.
    • Tausende von Anforderungen über mehrere Benutzerkonten hinweg, was darauf hindeutet, dass die Organisation Opfer eines Brute-Force-Angriffs geworden ist.
    • Anforderungen für neue Domain Name Systems, die von einem neuen Host oder einem Land kommen, in dem Mitarbeiter und Kunden nicht ansässig sind.

Microsoft Security folgen